【解決済】Synology の NAS OS「DSM」に任意のコマンド実行の脆弱性 (Synology-SA-22:03 DSM)

Synology の NAS 用 OS である DSM (DiskStation Manager) に任意のコマンドが実行される可能性のある脆弱性が発見されました。

(2022-03-09 追記) DSM 7.0 用の脆弱性対応バージョン (DSM 7.0.1-42218 Update 3) がリリースされました!通知が来ていると思いますので、アップデートしちゃいましょう!

Synology のセキュリティ勧告 Synology-SA-22:03 DSM
DSM 7.0 用の脆弱性対応バージョンがリリース

DSM 6.2 では、6.2.4-25556-5 以降にアップグレードすることで対応が可能です。
DSM7.0 は、対応中とのことなのでしばらく様子見しましょう。

DSM重大度修正版のリリース状況
DSM 7.0重要対応中 → 7.0.1-42218-3 以降にアップグレードで対応済み
DSM 6.2重要6.2.4-25556-5 以降にアップグレードにて対応済み

私は2台の Synology NAS (DS420+DS220j) を所有していますが、いずれも DSM7.0.1 (42218-2) なので、はやく修正版がリリースされることを待っています……。
対応バージョンがリリースされました! DSM 7.0.1-42218-3 以降にアップグレードしましょう!

ただ “remote authenticated users ” が任意のコマンドを実行可能になるという脆弱性なのですぐに問題になることはないと思います。私の場合は、家族が LAN 内からアクセスするか、私が LAN か QuickConnect でアクセスするくらいなので影響は殆どなさそうです。

このページでも修正版がリリースされたらアナウンスしていきたいと思います。

DSM 7.0 用の脆弱性対応バージョンがリリースされました!

DSM 7.0.1-42218 Update 3 で、脆弱性に対応しました!

コントロールパネル → 更新と復元 → DSM の更新、に最新版が表示されていると思うのでダウンロードしてインストールして下さい。
20~40分掛かるかもしれないよ?と出てきますが、パッチを NAS にアップロードするとすぐ終わります。(1分未満だと思います)

画像
アップデートを実行中……

UPS などで停電対策していない場合は、エアコンを付けたり電子レンジを動かしたり、ドライヤーを掛けないように注意しながら待ちましょう。
急に停電すると DSM が破壊される可能性があります。

※更新が表示されない場合は、ダウンロードセンターからパッケージを入手して手動でアップデートも可能です。以下より正しいバージョンをご確認下さい。

DSM 7.1 Beta 版が公開されました

DSM 7.1 の Beta 版が公開されました。

DiskStation Manager 7.1 Beta の特設ページ

脆弱性対応については特に書かれていませんが、このタイミングでの公開であることと、すでに DSM 6.2 では対応済みであることを考えると DSM 7.1 の公開に合わせて対策が織り込まれるとみて良いでしょう。

ベータ版を公式 twitter や News Letter (メルマガ) で配信するくらいなので正式版も近々公開されそうですね!

脆弱性の発見と細かなアップデートは安心の証

ちなみにですが、脆弱性が発見されたことは至って普通でこうした細かなアップデートのおかげで安心して使用することができます。
セキュリティ勧告のページには数多くの修正履歴が残っており、とても安心感がありますね。

問題があったからといって Synology の製品はダメだ、とは思わないで下さい。むしろ、細かな修正は安心の証です。

セキュリティアップデート一覧


コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)